Sicherheit dank Operational Intelligence

Irrfahrt auf dem Datenmeer

Olav Strand ist seit November 2015 Managing Director bei der IPSoft GmbH. Er verfügt über eine breit gefächerte Expertise über IT-Automation, IT Service Management (ITSM), Echtzeitanalysen von Maschinendaten, kognitive Systeme und künstliche Intelligenz. Olav Strand ist seit 21 Jahren in verschiedenen leitenden Positionen im IT-Sektor tätig.
Die zunehmende Digitalisierung beeinflusst den Bedarf nach Datenanalysen. Einblicke in maschinengenerierte Daten verleihen Unternehmen durchaus erhebliche Vorteile

Maschinengenerierte Daten gehören zum komplexesten und am schnellsten wachsenden Bereich von Big Data. Lückenlose Aufzeichnungen über getätigte Käufe, Kunden- Nutzer- und Maschinenverhalten, Sicherheitsbedrohungen und betrügerischen Aktivitäten verleihen ihnen zudem einen sehr großen Wert. Mit Hilfe von maschinengenerierten Daten bietet Operational Intelligence die Möglichkeit genau zu verstehen, was in IT-Systemen und der firmeneigenen Technologieinfrastruktur geschieht - in Echtzeit.

Durch fortwährendes Monitoring und schnelle Reaktionszeit ermöglicht Operational Intelligence Unternehmen, rasch auf Bedrohungen zu reagieren.
Durch fortwährendes Monitoring und schnelle Reaktionszeit ermöglicht Operational Intelligence Unternehmen, rasch auf Bedrohungen zu reagieren.
Foto: Splunk Inc.

Big Data-Sicherheitsplattformen können täglich mehr als 100 Terabyte an Maschinendaten verarbeiten- ohne SQL-Datenspeicher und Schemabindung. Hierauf basierend lassen sich fundierte Entscheidungen treffen: Entwickler können Applikationen und Services über Mobile und Cloud schneller am Markt einführen. Anwendungsmanager können die Verfügbarkeit und Performance ihrer Applikation verbessern. Und Sales-Teams haben die Möglichkeit, sich das Nutzerverhalten genauestens anzuschauen und ihre Services und Produkte entsprechend zu optimieren.

Whitepaper: Der Nutzen des Chief Data Officers

Der Chief Data Officer (CDO) wird immer öfter zu einer zentralen Führungkraft in Unternehmen auf der ganzen Welt. Der Grund ist die zunehmende Relevanz von Daten. Denn Daten sind überall und allgegenwärtig; sie untermauern jede Transaktion, jeden Betrieb und jegliche Interaktion innerhalb und außerhalb von Organisationen. Daten sind aber auf eine Infrastruktur angewiesen, sie müssen gespeichert, archiviert, analysiert und gesichert werden. Dafür braucht es den CDO. In dieser IBM-Studie wird die Rolle des CDO durchleuchtet und gezeigt, welche Vorteile Unternehmen konkret von ihm haben.

Des Weiteren bildet Operational Intelligence die Grundlage von Big-Data-Sicherheitslösungen, die sich an moderne Bedrohungen und sich verändernde Geschäftsanforderungen anpassen. Das passive Beobachten von potenziellen Sicherheitsverletzungen genügt nicht mehr. In der vernetzten Welt von heute ist jedes Datenbündel eine mögliche Schwachstelle. Viele Unternehmen beschränken sich zudem darauf, nur vorgefilterte und vorab definierte Daten genauer zu analysieren. Diese stellen jedoch nur Bruchteile des Ganzen dar und sind deshalb nicht ausreichend für eine umfassende Sicherheitsstrategie. Für IT-Verantwortliche sind deshalb fast alle Daten interessant, die ihre Systeme generieren. Es sollten also alle Sicherheitskomponenten, wie Firewalls, Anti-Malware-Anwendungen und IDS-Systeme, sowie nicht sicherheitsrelevante Quellen wie Windows-Protokolle, DNS-Dienste, Web- und E-Mail-Protokolle aufgezeichnet werden. Durch fortwährendes Monitoring und schnelle Reaktionszeit ermöglicht Operational Intelligence Unternehmen bekannte, sowie neue und hochentwickelte Bedrohungen, zu identifizieren und auf sie zu reagieren.

Wie wird Operational Intelligence richtig genutzt?

Vielen Unternehmen entgehen wertvolle Einsichten aus ihren Daten, da sie auf traditionelle Ansätze im Datenmanagement setzen. Altbewährte Vorgehen sind gut geeignet, um bereits Bekanntes zu identifizieren. Neue Zusammenhänge oder unbekannte Bedrohungen entdecken Firmen dabei nicht. Dabei ist nichts wichtiger, als das Durchführen komplexer Korrelationen und statistischer Analysen. Erst durch sie entsteht ein Gesamtbild der Bedrohungslage, das auch winzigste Spuren von Advanced Threats in einem Meer scheinbar unverdächtiger Ereignisse aufdeckt. Ein weiterer Schwachpunkt traditioneller Datenanalysen ist die lange Wartezeit zwischen Datenverarbeitung und tatsächlich gewonnener Erkenntnis. Ein Großteil der heutzutage analysierten Daten wird von Maschinen außerhalb des Unternehmens generiert und liegt unstrukturiert vor. Dies erschwert Unternehmen die Daten zu erfassen und korrekt auszuwerten.

Moderne Analyseverfahren sammeln die Daten aus den verschiedensten Quellen und in ganz unterschiedlichen Formaten zentral. Sie erlauben es den Nutzern, Fragen an das "Datenmeer" zu stellen und Ergebnisse in Echtzeit zu untersuchen. Einblicke, die nach einer Stunde geliefert werden, sind möglicherweise schon zu spät; das Unternehmen hat eine Gelegenheit verpasst. Dementsprechend steigt auf Unternehmensseite das Interesse an Datenanalysen in Echtzeit, um schneller und besser reagieren zu können.

Zum Beispiel: In einem großen Unternehmen hatte sich ein interner Benutzer mit dem Universalnamen "Administrator" an einem Windows-Endgerät angemeldet. Da aber alle Nutzer einen eindeutigen Namen haben und nicht in der Lage sein sollten, sich als "Root" oder "Administrator" anzumelden, löste dieser Vorgang einen Alarm in der Sicherheitsabteilung aus. Gleichzeitig erkannte die Anti-Malware-Anwendung, dass auf demselben Endgerät ein bei Hackern sehr beliebtes Schadprogramm ausgeführt wurde. Mit einem Spezialwerkzeug konnte schlussendlich festgestellt werden, dass von dem "Administrator"-PC unverschlüsselte Kreditkartendaten an einen verdächtigen Command & Control-Server übermittelt wurden. Alles deutete auf einen Hackerangriff hin. Das Unternehmen reagierte, indem es das Ereignismuster ermittelte und durch Korrelation auf drei verschiedene Datenquellen anwendete. Sollte es erneut auftreten, könnte es automatisch und in Echtzeit erkannt und danach ein entsprechender Alarm ausgelöst werden. Darüber hinaus verknüpfte das Unternehmen den Alarm mit einem einfachen Script, das alle externen Verbindungen eines infizierten Geräts automatisch blockiert.

Die Herausforderung besteht darin, die gewonnenen Daten so nutzbar zu machen, dass sie Unternehmen neue, gewinnbringende Einsichten liefern. IT-Strategen sollten eine Kombination aus bewährten Methoden und neuen Datenanalyseverfahren heranziehen, um Cyber-Attacken und Datenmissbrauch zu verhindern und das Kundenerlebnis zu optimieren. (bw)